Standaardinstellingen voor beveiliging beheren voor Azure Stack HCI, versie 23H2
Van toepassing op: Azure Stack HCI, versie 23H2
In dit artikel wordt beschreven hoe u de standaardbeveiligingsinstellingen voor uw Azure Stack HCI-cluster beheert. U kunt ook driftbeheer en beveiligde beveiligingsinstellingen wijzigen die tijdens de implementatie zijn gedefinieerd, zodat uw apparaat in een bekende goede status wordt gestart.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u toegang hebt tot een Azure Stack HCI- versie 23H2-systeem dat is geïmplementeerd, geregistreerd en verbonden met Azure.
Standaardinstellingen voor beveiliging weergeven in Azure Portal
Als u de standaardinstellingen voor beveiliging in Azure Portal wilt weergeven, moet u ervoor zorgen dat u het MCSB-initiatief hebt toegepast. Zie Microsoft Cloud Security Benchmark-initiatief toepassen voor meer informatie.
U kunt de standaardinstellingen voor beveiliging gebruiken voor het beheren van clusterbeveiliging, driftcontrole en beveiligde kernserverinstellingen op uw cluster.
Bekijk de SMB-ondertekeningsstatus > op het tabblad GegevensbeveiligingNetwerkbeveiliging. Met SMB-ondertekening kunt u SMB-verkeer tussen een Azure Stack HCI-systeem en andere systemen digitaal ondertekenen.
Naleving van beveiligingsbasislijnen weergeven in Azure Portal
Nadat u uw Azure Stack HCI-systeem hebt ingeschreven met Microsoft Defender voor Cloud of nadat u het ingebouwde beleid hebt toegewezen dat Windows-machines moeten voldoen aan de vereisten van de Basislijn voor Azure Compute-beveiliging, wordt er een nalevingsrapport gegenereerd. Zie Windows-beveiligingsbasislijn voor de volledige lijst met regels waar uw Azure Stack HCI-server mee wordt vergeleken.
Wanneer aan alle hardwarevereisten voor secured-core wordt voldaan, is de nalevingsscore voor azure Stack HCI-server 281 van de 288 regels. Dat wil gezegd dat 281 van de 288 regels compatibel zijn.
In de volgende tabel worden de regels die niet compatibel zijn en de reden van de huidige hiaat uitgelegd:
| Regelnaam | Verwacht | Werkelijk | Logica | Opmerkingen |
|---|---|---|---|---|
| Interactieve logon: berichttekst voor gebruikers die zich willen aanmelden | Verwacht: | Werkelijke: | Operator: NOTEQUALS |
We verwachten dat u deze waarde definieert zonder dat er een driftcontrole is ingesteld. |
| Interactieve logon: berichttitel voor gebruikers die zich willen aanmelden | Verwacht: | Werkelijke: | Operator: NOTEQUALS |
We verwachten dat u deze waarde definieert zonder dat er een driftcontrole is ingesteld. |
| Minimale wachtwoordlengte | Verwacht: 14 | Werkelijk: 0 | Operator: GREATEROREQUAL |
We verwachten dat u deze waarde definieert zonder driftcontrole die overeenkomt met het beleid van uw organisatie. |
| Het ophalen van metagegevens van het apparaat van internet voorkomen | Verwacht: 1 | Werkelijk: (null) | Operator: GELIJK AAN |
Dit besturingselement is niet van toepassing op Azure Stack HCI. |
| Voorkomen dat gebruikers en apps toegang krijgen tot gevaarlijke websites | Verwacht: 1 | Werkelijk: (null) | Operator: GELIJK AAN |
Dit besturingselement maakt deel uit van de Windows Defender-beveiliging en is niet standaard ingeschakeld. U kunt evalueren of u wilt inschakelen. |
| Beveiligde UNC-paden - NETLOGON | Verwacht: RequireMutualAuthentication=1 RequireIntegrity=1 |
Werkelijk: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: GELIJK AAN |
Azure Stack HCI is meer beperkend. Deze regel kan veilig worden genegeerd. |
| Beveiligde UNC-paden - SYSVOL | Verwacht: RequireMutualAuthentication=1 RequireIntegrity=1 |
Werkelijke: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
Operator: GELIJK AAN |
Azure Stack HCI is meer beperkend. Deze regel kan veilig worden genegeerd. |
Standaardinstellingen voor beveiliging beheren met PowerShell
Als driftbeveiliging is ingeschakeld, kunt u alleen niet-beveiligde beveiligingsinstellingen wijzigen. Als u beveiligde beveiligingsinstellingen wilt wijzigen die de basislijn vormen, moet u eerst driftbeveiliging uitschakelen. Zie Beveiligingsbasislijn om de volledige lijst met beveiligingsinstellingen weer te geven en te downloaden.
Standaardinstellingen voor beveiliging wijzigen
Begin met de initiële beveiligingsbasislijn en wijzig vervolgens driftbeheer en beveiligde beveiligingsinstellingen die tijdens de implementatie zijn gedefinieerd.
Driftbeheer inschakelen
Gebruik de volgende stappen om driftbeheer in te schakelen:
Maak verbinding met uw Azure Stack HCI-knooppunt.
Voer de volgende cmdlet uit:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokaal : is alleen van invloed op het lokale knooppunt.
- Cluster : is van invloed op alle knooppunten in het cluster met behulp van de orchestrator.
Driftbeheer uitschakelen
Gebruik de volgende stappen om driftbeheer uit te schakelen:
Maak verbinding met uw Azure Stack HCI-knooppunt.
Voer de volgende cmdlet uit:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- Lokaal : is alleen van invloed op het lokale knooppunt.
- Cluster : is van invloed op alle knooppunten in het cluster met behulp van de orchestrator.
Belangrijk
Als u driftbeheer uitschakelt, kunnen de beveiligde instellingen worden gewijzigd. Als u driftbeheer opnieuw inschakelt, worden alle wijzigingen die u in de beveiligde instellingen hebt aangebracht, overschreven.
Beveiligingsinstellingen configureren tijdens de implementatie
Als onderdeel van de implementatie kunt u driftbeheer en andere beveiligingsinstellingen wijzigen die de beveiligingsbasislijn in uw cluster vormen.
In de volgende tabel worden beveiligingsinstellingen beschreven die tijdens de implementatie kunnen worden geconfigureerd op uw Azure Stack HCI-cluster.
| Functiegebied | Functie | Beschrijving | Ondersteunt driftbesturing? |
|---|---|---|---|
| Beheer | Beveiligingsbasislijn | Behoudt de standaardinstellingen voor beveiliging op elke server. Beschermt tegen wijzigingen. | Yes |
| Referentiebeveiliging | Windows Defender Credential Guard | Maakt gebruik van beveiliging op basis van virtualisatie om geheimen te isoleren van aanvallen met diefstal van referenties. | Yes |
| Toepassingsbeheer | Windows Defender-toepassingsbeheer | Hiermee bepaalt u welke stuurprogramma's en apps rechtstreeks op elke server mogen worden uitgevoerd. | No |
| Versleuteling van data-at-rest | BitLocker voor het opstartvolume van het besturingssysteem | Hiermee versleutelt u het opstartvolume van het besturingssysteem op elke server. | No |
| Versleuteling van data-at-rest | BitLocker voor gegevensvolumes | Hiermee versleutelt u gedeelde clustervolumes (CSV's) op dit cluster | No |
| Beveiliging van gegevens in transit | Ondertekening voor extern SMB-verkeer | Hiermee wordt SMB-verkeer tussen dit systeem en andere systemen ondertekend om Relay-aanvallen te voorkomen. | Yes |
| Beveiliging van gegevens in transit | SMB-versleuteling voor verkeer in het cluster | Versleutelt verkeer tussen servers in het cluster (in uw opslagnetwerk). | No |
Beveiligingsinstellingen wijzigen na implementatie
Nadat de implementatie is voltooid, kunt u PowerShell gebruiken om beveiligingsinstellingen te wijzigen met behoud van driftbeheer. Sommige functies moeten opnieuw worden opgestart om van kracht te worden.
Eigenschappen van PowerShell-cmdlet
De volgende cmdlet-eigenschappen zijn voor de module AzureStackOSConfigAgent . De module wordt geïnstalleerd tijdens de implementatie.
Get-AzsSecurity-Bereik: <Lokaal | PerNode | AllNodes | Cluster>- Lokaal : biedt booleaanse waarde (waar/onwaar) op het lokale knooppunt. Kan worden uitgevoerd vanuit een gewone externe PowerShell-sessie.
- PerNode : biedt booleaanse waarde (waar/onwaar) per knooppunt.
- Rapport : hiervoor is CredSSP of een Azure Stack HCI-server vereist die gebruikmaakt van een RDP-verbinding (Remote Desktop Protocol).
- AllNodes: biedt booleaanse waarde (waar/onwaar) die is berekend op knooppunten.
- Cluster: biedt booleaanse waarde uit het ECE-archief. Communiceert met de orchestrator en reageert op alle knooppunten in het cluster.
Enable-AzsSecurity-Bereik <lokaal | Cluster>Disable-AzsSecurity-Bereik <lokaal | Cluster>- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
- Credential Guard
- Driftregeling
- VBS (Virtualization Based Security) - We ondersteunen alleen inschakelen opdracht.
- DRTM (Dynamic Root of Trust for Measurement)
- HVCI (hypervisor afgedwongen als code-integriteit)
- Beperking van side channel
- SMB-versleuteling
- SMB-ondertekening
- FeatureName - <CredentialGuard | DriftControl | DRTM | HVCI | SideChannelMitigation | SMBEncryption | SMBSigning | VBS>
In de volgende tabel worden ondersteunde beveiligingsfuncties beschreven, of deze ondersteuning bieden voor driftbeheer en of opnieuw opstarten is vereist om de functie te implementeren.
| Name | Functie | Ondersteunt driftbesturing | Opnieuw opstarten is vereist |
|---|---|---|---|
| Inschakelen |
Beveiliging op basis van virtualisatie (VBS) | Ja | Ja |
| Inschakelen Uitschakelen |
Dynamic Root of Trust for Measurement (DRTM) | Ja | Ja |
| Inschakelen Uitschakelen |
Met hypervisor beveiligde code-integriteit (HVCI) | Ja | Ja |
| Inschakelen Uitschakelen |
Beperking van kanalen aan de zijkant | Ja | Ja |
| Inschakelen Uitschakelen |
SMB-ondertekening | Ja | Ja |
| Inschakelen Uitschakelen |
SMB-clusterversleuteling | Nee, clusterinstelling | Nee |
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor